Поделиться через

Создание snapshot отчетов об обнаружении облака

  • Статья

Важно отправить журнал вручную и позволить Microsoft Defender для облачных приложений проанализировать его, прежде чем пытаться использовать автоматический сборщик журналов. Сведения о работе сборщика журналов и ожидаемом формате журнала см. в статье Использование журналов трафика для обнаружения в облаке.

Если у вас еще нет журнала и вы хотите просмотреть пример того, как должен выглядеть журнал, скачайте пример файла журнала. Следуйте приведенной ниже процедуре, чтобы увидеть, как должен выглядеть ваш журнал.

Чтобы создать отчет snapshot, выполните приведенные далее действия.

  1. Соберите файлы журналов брандмауэра и прокси-сервера, через которые пользователи этой организации выходят в Интернет. Обязательно собирайте журналы во время пикового трафика, отражающие все действия пользователей в этой организации.

  2. На портале Microsoft Defender в разделе Облачные приложения выберите Обнаружение облаков.

  3. В правом верхнем углу растяните вниз Действия и выберите Создать Cloud Discovery snapshot отчет.

    Создайте отчет snapshot.

  4. Нажмите кнопку Далее.

  5. Введите имя отчета и описание.

    Новый отчет snapshot.

  6. Выберите Источник из которого вы хотите отправить файлы журнала. Если источник не поддерживается (полный список поддерживаемых брандмауэров и прокси-серверов см. в разделе Поддерживаемые брандмауэры и прокси-серверы ), можно создать пользовательское средство синтаксического анализа. Дополнительные сведения см. в разделе Использование настраиваемого средства синтаксического анализа журналов.

  7. Проверьте, правильно ли отформатирован журнал в соответствии с образцом журнала, который вы можете скачать. В разделе Проверить формат журнала выберите Формат журнала а затем выберите Скачать образец журнала. Сравните свой журнал с предоставленным образцом, чтобы проверить, совместим ли он.

    Проверьте формат журнала.

    Примечание.

    Пример формата FTP поддерживается в моментальных снимках и автоматической отправке, в то время как системный журнал поддерживается только в автоматической отправке. При скачивании образца журнала будет загружен образец журнала FTP.

  8. Отправьте журналы трафика , которые вы хотите отправить. Вы можете отправить до 20 файлов одновременно. Также поддерживаются сжатые и заархивированные файлы.

    Отправка журналов трафика.

  9. Сбор и отправка журналов.

  10. После завершения отправки в правом верхнем углу экрана появится сообщение о состоянии, сообщающее о том, что журнал успешно отправлен.

  11. После отправки файлов журнала потребуется некоторое время для их разбора и анализа. После завершения обработки файлов журналов вы получите электронное письмо с уведомлением об этом.

  12. В строке состояния в верхней части панели мониторинга Cloud Discovery появится баннер уведомления. Баннер информирует вас о состоянии обработки файлов журналов. строка меню для обработки файла журнала.

  13. После успешной отправки журналов вы увидите уведомление о том, что обработка файла журнала успешно завершена. На этом этапе отчет можно просмотреть, щелкнув ссылку в строке состояния. Или на портале Microsoft Defender выберите Параметры.

  14. Затем в разделе Cloud Discovery выберите Отчеты о моментальных снимках и выберите отчет snapshot.

    управление отчетами snapshot.

Использование журналов трафика для обнаружения в облаке

Cloud Discovery использует данные в журналах трафика. Чем подробнее ваш журнал, тем лучше видимость. Для облачного обнаружения требуются данные веб-трафика со следующими атрибутами:

  • Дата транзакции
  • Исходный IP-адрес
  • Исходный пользователь — настоятельно рекомендуется
  • IP-адрес назначения
  • Рекомендуемый URL-адрес назначения (URL-адреса обеспечивают более высокую точность обнаружения облачных приложений, чем IP-адреса)
  • Общий объем данных (сведения о данных очень ценны)
  • Объем отправленных или скачанных данных (предоставляет сведения о шаблонах использования облачных приложений).
  • Предпринятое действие (разрешено или заблокировано)

Обнаружение в облаке не может отображать или анализировать атрибуты, которые не включены в журналы. Например, стандартный формат журнала брандмауэра Cisco ASA не содержит количество отправленных байтов на транзакцию, имя пользователя и целевой URL-адрес (только целевой IP-адрес). Поэтому эти атрибуты не будут отображаться в данных обнаружения облака для этих журналов, а видимость облачных приложений будет ограничена. Для межсетевых экранов Cisco ASA необходимо установить информационный уровень 6.

Чтобы успешно создать отчет об обнаружении облака, журналы трафика должны соответствовать следующим условиям:

  1. Поддерживаемый источник данных.
  2. Формат журнала соответствует ожидаемому стандартному формату (формат проверяется при загрузке инструментом журнала).
  3. События не старше 90 дней.
  4. Файл журнала действителен и содержит сведения об исходящем трафике.

Дальнейшие действия

Управление облачными приложениями с помощью политик

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.